Der Prüfer kommt! Dieses Buch zeigt Ihnen, wie Sie Ihr SAP-System aufstellen, um für die Wirtschaftsprüfung oder interne Revision gerüstet zu sein. Sie lernen, wie Sie ein Internes Kontrollsystem (IKS) in SAP ERP und SAP S/4HANA umsetzen, und werden mit Applikations- und Berechtigungskontrollen sowie Prüfungshandlungen vertraut gemacht. Zudem erfahren Sie, wie Sie ein IKS im Rahmen eines integrierten GRC-Ansatzes einrichten und automatisieren. So sind Sie als Wirtschaftsprüfer, IT-Verantwortlicher, Mitarbeiter in der Finanzabteilung, Security-Beauftragter und Berater für alle Fälle gewappnet! Die 3. Auflage des Standardwerks umfasst die relevanten Neuheiten von SAP S/4HANA, Assurance für Cloud, neue gesetzliche Auflagen und Standards, neue SAP-GRC-Lösungen u. v. m.
Aus dem Inhalt:
SAP ERP und SAP S/4HANA
SAP Process Control 12
Prozessübergreifende Kontrollen
Kontrollen in Finanzwesen, Einkauf, Vertrieb und Personalwirtschaft
Vorgehensweise in FI, MM, SD, HCM etc.
FDA-Compliance, Betrug im SAP-System
Risiko- und effizienzorientiertes IKS
Assurance- und Compliance-Lösungen
Cloud-Lösungen
Business Integrity Screening (BIS) (ehemals Fraud Management)
Audit Management
Unified Connectivity (UCON)
Datenschutz/DSGVO
Inhaltsverzeichnis
Vorwort . . . 25
Vertrauen ist gut, Kontrolle ist billiger: Einleitung . . . 27
TEIL I Vom Paragrafen zum Konzept: IKS und Compliance im ERP-Umfeld . . . 39
1. Gesetzliche Anforderungen im Bereich IKS-Compliance . . . 41
1. 1 . . . Begriffsdefinitionen und Abgrenzung . . . 41
1. 2 . . . IKS-Anforderungen in Europa . . . 49
1. 3 . . . IKS-Anforderungen in der Finanzbranche . . . 56
1. 4 . . . Unternehmenserfolg durch IKS? . . . 60
1. 5 . . . Resümee . . . 62
2. Der Prüfer kommt: Wann, warum und wie man damit umgeht . . . 63
2. 1 . . . IKS im IT-Umfeld aus der Sicht der Wirtschaftsprüfung . . . 64
2. 2 . . . IKS-Assurance in der Praxis . . . 72
2. 3 . . . Interessenskonflikte in der Wirtschaftsprüfung . . . 83
2. 4 . . . Resümee . . . 87
3. IKS-Anforderungen und SAP-ERP-Systeme: Grundsätze, Frameworks, Struktur . . . 89
3. 1 . . . IKS-Inhalte im SAP-ERP-Umfeld definieren . . . 89
3. 2 . . . IKS-relevante Referenzmodelle . . . 106
3. 3 . . . IKS und risikomanagementrelevante Standards und Modelle . . . 116
3. 4 . . . Resümee . . . 123
4. Wie geht SAP mit dem Thema Compliance um? . . . 125
4. 1 . . . Softwarezertifizierung . . . 125
4. 2 . . . Compliancerelevante Leitfäden . . . 130
4. 3 . . . SAP-Lösungen für Governance, Risk and Compliance (GRC) . . . 138
4. 4 . . . Resümee . . . 170
TEIL II Vom Konzept zum Inhalt: Kontrollen in SAP ERP . . . 173
5. Revisionsrelevante SAP-Basics . . . 175
5. 1 . . . Am Anfang war die Tabelle: SAP-System als tabellengesteuerte Applikation . . . 176
5. 2 . . . Berechtigungen . . . 208
5. 3 . . . Resümee . . . 227
6. Generelle IT-Kontrollen in SAP ERP . . . 229
6. 1 . . . Organisatorische Kontrollen . . . 229
6. 2 . . . Kontrollen im Bereich Change Management und Entwicklung . . . 240
6. 3 . . . Sicherheitskontrollen beim Zugriff auf das SAP-System und bei der Authentifizierung . . . 252
6. 4 . . . Sicherheits- und Berechtigungskontrollen innerhalb von SAP ERP . . . 261
6. 5 . . . Resümee . . . 279
7. Übergreifende Applikationskontrollen in SAP ERP . . . 281
7. 1 . . . Grundsatz der Unveränderlichkeit . . . 282
7. 2 . . . Kontrollen für die datenbezogene Nachvollziehbarkeit . . . 288
7. 3 . . . Nachvollziehbarkeit der Benutzeraktivitäten im SAP-System . . . 296
7. 4 . . . Prozessübergreifende Verarbeitungskontrollen . . . 304
7. 5 . . . Resümee . . . 315
8. Kontrollen in der Finanzbuchhaltung . . . 317
8. 1 . . . Grundlegende Kontrollmechanismen im Hauptbuch . . . 318
8. 2 . . . Kontrollen zur Richtigkeit und Qualität der Daten im Hauptbuch . . . 328
8. 3 . . . Vollständigkeit der Verarbeitung im Hauptbuch . . . 338
8. 4 . . . Sicherheit und Schutz der Daten im Hauptbuch . . . 344
8. 5 . . . Kontrollen in der Anlagenbuchhaltung . . . 355
8. 6 . . . Kontrollen in der Kreditoren- und Debitorenbuchhaltung . . . 370
8. 7 . . . Resümee . . . 378
9. Kontrollmechanismen im SAP-ERP-gestützten Procure-to-Pay-Prozess . . . 379
9. 1 . . . Bestellwesen . . . 381
9. 2 . . . Wareneingänge und Rechnungsprüfung . . . 385
9. 3 . . . WE/RE-Konto . . . 390
9. 4 . . . Kontrollen rund um das Thema Bestände . . . 395
9. 5 . . . Corporate Governance . . . 406
9. 6 . . . Resümee . . . 407
10. Kontrollmechanismen im SAP-ERP-gestützten Order-to-Cash-Prozess . . . 409
10. 1 . . . Kontrollen in der vorbereitenden Vertriebsphase . . . 410
10. 2 . . . Kontrollen bei der Auftragserfüllung und Umsatzlegung . . . 417
10. 3 . . . Resümee . . . 430
11. Datenschutz-Compliance in SAP ERP Human Capital Management . . . 431
11. 1 . . . Gesetzliche Datenschutzanforderungen . . . 432
11. 2 . . . Datenschutzrelevante übergreifende Kontrollmechanismen im SAP-System . . . 449
11. 3 . . . Besondere Anforderungen an SAP ERP HCM . . . 454
11. 4 . . . Berechtigungen und Rollen in SAP ERP HCM . . . 455
11. 5 . . . Datenlöschung und Datensperrung . . . 468
11. 6 . . . Resümee . . . 469
12. Betrug im SAP-System . . . 471
12. 1 . . . Einführung . . . 471
12. 2 . . . Betrugsszenarien in der SAP-Basis . . . 476
12. 3 . . . Betrugsszenarien im Hauptbuch . . . 478
12. 4 . . . Betrugsszenarien im Vertriebsbereich . . . 482
12. 5 . . . Betrugsszenarien in der Personalbuchhaltung . . . 488
12. 6 . . . Resümee . . . 491
13. Exkurs: FDA-Compliance und Kontrollen in SAP . . . 493
13. 1 . . . Gesetzliche Anforderungen im Bereich Arznei- und Lebensmittelherstellung . . . 493
13. 2 . . . Validierung der IT-Systeme . . . 498
13. 3 . . . FDA-Compliance in IT-gestützten Geschäftsprozessen . . . 501
13. 4 . . . FDA-Compliance bei Systempflege, -aktualisierung und -änderung aufrechterhalten . . . 506
13. 5 . . . Resümee . . . 508
14. Exemplarische effizienz- und wirtschaftlichkeitsorientierte Analyseszenarien in SAP ERP . . . 509
14. 1 . . . Prozessbezogene Datenauswertungen . . . 510
14. 2 . . . Analyse der Stammdatenqualität . . . 527
14. 3 . . . Manuelle Datenänderungen . . . 535
14. 4 . . . Ergänzung von SAP-ERP-Standardreports . . . 547
14. 5 . . . Resümee . . . 550
15. Risk und Compliance in SAP S/4HANA . . . 551
15. 1 . . . SAP S/4HANA im Überblick . . . 551
15. 2 . . . Finanzbuchhaltung . . . 558
15. 3 . . . Controlling . . . 569
15. 4 . . . Resümee . . . 572
16. Berechtigungen in SAP S/4HANA . . . 573
16. 1 . . . Berechtigungen für SAP Fiori . . . 574
16. 2 . . . Berechtigungen für das SAP-S/4HANA-Backend . . . 587
16. 3 . . . Funktionstrennung in SAP S/4HANA . . . 590
16. 4 . . . Berechtigungen in SAP HANA . . . 593
16. 5 . . . Erfahrungswerte aus SAP-S/4HANA-Berechtigungsprojekten . . . 602
16. 6 . . . Resümee . . . 605
17. Unified Connectivity: Wirksamer Schutz der SAP-ERP-Umgebungen . . . 607
17. 1 . . . Schnittstellenbezogene Risiken in SAP ERP . . . 608
17. 2 . . . Die Funktionsweise von UCON . . . 612
17. 3 . . . Phasen der UCON-Einführung . . . 613
17. 4 . . . Konfigurationsschritte . . . 615
17. 5 . . . Bereitstellungsszenarien für UCON . . . 625
17. 6 . . . FAQ zu UCON . . . 635
17. 7 . . . Resümee . . . 637
TEIL III Von Konzept und Inhalt zur Umsetzung: Die Automatisierung eines Internen Kontrollsystems . . . 639
18. IKS-Automatisierung: Wie bringt man den COSO-Cube ins Rollen? . . . 641
18. 1 . . . Grundidee der IKS-Automatisierung . . . 641
18. 2 . . . IKS-relevante Objekte und Dokumentation . . . 646
18. 3 . . . Grundszenarien der IKS-Aktivitäten . . . 655
18. 4 . . . Resümee . . . 664
19. IKS-Automatisierung mithilfe von SAP Process Control . . . 665
19. 1 . . . Einleitung: IKS-Umsetzung mit SAP Process Control . . . 666
19. 2 . . . Technische Implementierung . . . 668
19. 3 . . . Datenmodell . . . 676
19. 4 . . . Implementierung des IKS-Prozesses . . . 696
19. 5 . . . IKS- und Compliance-Umsetzung: Rollen . . . 741
19. 6 . . . Resümee . . . 752
20. Umsetzung von automatisierten Test- und Monitoring-Szenarien . . . 753
20. 1 . . . Automatisierte Test- und Überwachungsszenarien im SAP-Umfeld . . . 754
20. 2 . . . Automatisierte Tests und Monitoring in SAP GRC . . . 766
20. 3 . . . Einrichtung von CMF-Szenarien in SAP Process Control . . . 773
20. 4 . . . Resümee . . . 800
21. SAP GRC - Erfolgsfaktoren und Erfahrungswerte . . . 801
21. 1 . . . Wem nutzt GRC: Die drei Verteidigungslinien im Überblick . . . 801
21. 2 . . . Der Mehrwert von GRC . . . 805
21. 3 . . . Projekterfahrungen bei der Automatisierung von IKS und Risikomanagement . . . 810
21. 4 . . . Resümee . . . 822
Anhang . . . 825
A . . . Abkürzungsverzeichnis . . . 827
B . . . Literatur . . . 839
C . . . Der Autor . . . 845
Index . . . 851
